【vvvウィルス】TeslaCryptウィルスの被害が増えてきています【今回はmp3ウィルス】

以前、「vvvウィルス」として話題になったTeslaCryptウィルスが、最近になって拡張子を「mp3」とする亜種のウィルスとして被害が拡がっている様です。「感染が広がっている」という程大規模な状況なのか?そうではないのか?も含めて情報収集中の状況ですが、取り急ぎ注意勧告させて頂きます (※)尚、本まとめのきっかけはTLの人の知り合いが実際の被害者だったからです・・・確認してみたら他にも被害者結続きを読む以前、「vvvウィルス」として話題になったTeslaCryptウィルスが、最近になって拡張子を「mp3」とする亜種のウィルスとして被害が拡がっている様です。「感染が広がっている」という程大規模な状況なのか?そうではないのか?も含めて情報収集中の状況ですが、取り急ぎ注意勧告させて頂きます (※)尚、本まとめのきっかけはTLの人の知り合いが実際の被害者だったからです・・・確認してみたら他にも被害者結構いたって状況でした。引き続き情報収集中です
teslacrypt vvvウィルス MP3 vvv
khb02323 23185view 11コメント
42
ログインして広告を非表示にする
  • 更新履歴

    このまとめを作った数時間後に、TL上の方がTeslaCryptの被害に遭う状況が発生しました。結果的に私の見ているTL上でTL上の方が1人、TL上の方の知り合いが1人と2人が1週間以内に被害に遭った事になった訳で、TeslaCryptのウィルス被害が「最近になって増えているのか?」、「そういう話ではない」のかが半信半疑だったのですが、「やはり増えてきている?」のではないかと思えてきました・・・
    尚、TL上の方の事例は一番最後の事例として追加しましたが、一番ボリュームのある被害報告になっています

  • TeslaCryptウィルスについて

    以前話題になった際は「VVVウィルス」の名称で認知されましたが、実際の名前は「TeslaCrypt」ウィルスという物です。
    今回の一連の被害例では拡張子は「vvv」ではなく「mp3」になっている様です

    今回のTeslaCryptウィルス被害について解析した方がいて、はてなblogにまとめてくださっているので紹介します。この方の解析では「WindowsXP+IE8(以下)」の環境が特にまずいという話ですが、一連の被害者の話を見ていると、「本当に被害者はWindowsXPだけなのか?」、「Windows7や8以降でも被害者はいるのでは?」という疑念が拭えません

    また、以前「VVVウィルス」として話題になった際には、
    Flash、Java、Windowsアップデートのどれかが最新版でない状態で不正な広告サイトを見た結果じゃないのか?という指摘もあったのですが、どうも被害者達の話を見ているとアップデートを最新にしてあったケースでも被害にあったケースがある様にも思えます

  • リンク ブログ/こばさんの wakwak 山歩き 拡張子を MP3 にする TeslaCrypt は IE8 狙い撃ち、見ただけで感染か 拡張子を MP3 にする TeslaCrypt は IE8 狙い撃ち、見ただけで感染か  知人から突然の悲報パソコンの中の..
  • TeslaCryptに対する予防方法について

    ・Flash、Javaを使ってる場合は常に最新版にしておく

    ・Windowsアップデートも常に最新にしておく
    (※)但し、自動でWindowsアップデートをする設定にしている場合、間違ってWindows10になってしまうケースがあるかもしれませんので、そこはそうならない様に半自動、手動でアップデートするなり各自に対策してください

    ・WindowsXP+IE8以下の環境は使わない
    WindowsXPを使わざるを得ない環境ならブラウザをChromeやFireFoxなどに変える

    ・海外のサイトなど怪しいサイトは見に行かない

    ・メールの添付ファイルなどはダブルクリックして開かない

    上記は「最低限の対策」ですが、被害者達の情報を見た際に
    「本当にこれで対策になっているのか?」に疑問があります

    なので、念を押す意味で下記を推奨します

    ・大事なファイルは定期的に外付けHDDやUSBメモリなどの
    外部記録メディアに保存して、それは普段はPCからは外しておく

  • どうやら日本ではTeslaCrypt対策に関してはこの方が圧倒的に詳しいみたいです

    TeslaCryptに関して調べていくと、どうやら日本では「てすたん」さんという方が圧倒的に詳しいらしいです

  • てすたん/testa021 @testa021 2016-02-23 15:06:27
    【自動】VVVウイルス対策に 【ランサムウェア対策】VVVウイルスの駆除、検知やゼロデイ攻撃から身を守るためのセキュリテイソフトやツール testan.hatenablog.com/entry/vvv_viru…
  • リンク http://testan.hatenablog.com/ 【ランサムウェア対策】VVVウイルスの駆除、検知やゼロデイ攻撃から身を守るためのセキュリテイソフトやツール 個人的なメモ - てすたんの日記 最終更新:2016/03/06 mp3、xxx、micro等teslacrypt3.0以降は復号出来ないのが現状です。 ※昔のVER、VVVの拡張子ならデータの復号、復元が可能だと思います。 testan.hatenablog.com 追記:2015/12/25 日本向けサイトでも、WordPressのシステムを使っているブログサイトがteslacryptの感染源になっているようです。 特に新しい感染手法を取り入れてるわけではないようです。 2015/12/17..
  • カスペルスキーが最強?

    上記の「てすたん」さんのblogでもおすすめされているのが
    カスペルスキーのアンチウィルスソフトで、アンチウィルスソフトをお使いの物からカスペルスキーに変更する事が可能ならかなり有効みたいです。blogによるとカスペルスキーがインストールされたPCの場合「ウィルスの方から逃げていく」事もあるとか・・・
    (※)ただ、実際にはもろもろの事情で変更は難しかったり、カスペルスキーはカスペルスキーで苦手分野もあるかもですよね

  • 「ウィルスの方から逃げていく」?

    (※)この方法がいつまで使えるのかわかりませんが、少なくとも2016/2/26~3/3現在の海外情報という事で、一応紹介します

    アンチウィルスソフトや、ゼロデイ対策ソフトで防げればそれに越した事はないのですが、アンチウィルスソフトは対策が間に合わない事が多い、ゼロデイ対策ソフトはインストールするのが怖い、重くなったりしたら嫌だ?という考えを
    お持ちの方の為に「参考になるかもしれない」情報です

    海外のGalBitさん(@Gal_B1t)の解析によると、どうも現時点で出回っているTeslaCryptは「カスペルスキー」や「ESET」や「AVAST]がインストールされている事を検出すると「逃げていく」(自分で自動的に終了する)という挙動があるそうです
    (※)繰り返しますが、この状態がいつまで続くかの保証は全くありませんが、短期的には有効的である可能性があります

    検証内容からすると
    HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab

    HKEY_LOCAL_MACHINE/SOFTWARE/ESET

    HKEY_LOCAL_MACHINE/SOFTWARE/AVAST Software
    のレジストリ項目のどれかがあると
    TeslaCryptは逃げていく(自分で自動的に終了する)可能性があるそうです

    これは上記のいずれかのアンチウィルスソフトがインストールされている事の検出判定ですが、「要するにトップレベルのレジストリ項目があればいい」だけなので

    HKEY_LOCAL_MACHINE/SOFTWEREの下に
    KasperskyLab

    ESET

    AVAST Software
    の空のレジストリ「キー」を作成すればいいだけです
    (既にインストールされていたり、過去にインストールされていれば既にあるので同じ名前のキーは作れないとはじかれるだけです)

    詳しい変更手順は敢えて省略しましたが、後で書くかもしれません・・・

  • レジストリキーの作成方法を私の方でまとめました

    「ウィルスの方から逃げていく」 レジストリキーの作成を使った簡易版TeslaCryptウィルス対策方法(2016/3/10版

  • TeslaCryptウィルスに感染した場合の対策について

    ありません
    vvvなりmp3にされてしまったファイル群を直す方法は
    完全に無いと思った方が無難です

    ・・・なので、TeslaCryptウィルスに対しては
    「感染しない事が重要」かつ、万が一の感染に備えて
    定期的にバックアップを外部のHDDなどに保存した上で
    物理的に接続を切り離して保存する以外に道は無いと思います

    (※)「感染しない様に予防する」のが一番大事な話ですが、Flash/Java/Windowsアップデートの最新版で殆どのユーザー環境で実際に防げている気もするのですが、「本当に絶対にそれで大丈夫なのか?」の確信がありません・・・この点については情報募集中です

    追記
    「TeslaCrypt(vvvウイルス)によって暗号化されたファイルの
    復号手順メモ」というページで復号を試している方はいらっしゃいました
    (※1)但し、この手法が実用レベルで使えるのかは私にはわかりません
    (※2)どうやら今回の「mp3」形式などのTeslaCrypt3.0で暗号化されたファイルはこの方法では復号できなくなっている模様です

  • リンク (n)inja csirt TeslaCrypt(vvvウイルス)によって暗号化されたファイルの復号手順メモ TeslaCrypt(vvvウイルス)によって暗号化されたファイルの復号手順メモ
  • その他参考情報

    一時期twitterを賑わしたTeslaCrypt(通称VVVウィルス)はどうなったの?ってことで亜種のmp3改変版に引っかかってみた備忘録

  • リンク マカフィー株式会社 公式ブログ スパムで送信される新しいTeslaCryptランサムウェアに注意 過去数週間に、McAfee LabsはNemucodに関連するスパムの急増を検出しています。Nemucodは通常.zip添付ファイルで送信される悪意のあるJavaScriptで、他のマルウェアをダウンロードしようとします。NemucodはF...
  • 関連情報、対策情報を随時募集します

    本件に関する対策情報、関連情報などをご存じの方は是非教えてください

  • TeslaCryptによる被害例

    Twitter上で「ウィルス mp3」などのキーワードで検索すると
    7日~10日程度の間に10件前後の被害例が見つかります

    この被害件数が「多いのか?」、「少ないのか?」については何とも言えないのですが、とりあえず今回、私のTL上の人の知り合いが実際の被害者であった事で、注意喚起という事でまとめておきます

    (※)但し、注意喚起はできるのですが、確定的に避ける情報が特定できてないので、上記の様な「最低限対処しておくべき内容」以上の事が書けませんし、「それで効果があるのか?」に自信が持てない状況です(唯一外部メディアへのバックアップのみは被害が起きてしまった場合のフェイルセーフ手段として提示できます)

  • TLより
  • 事例1
  • Zoffy @saxblue23 2016-03-08 23:23:33
    PCの挙動がおかしいよお……
  • Zoffy @saxblue23 2016-03-08 23:25:18
    まあ今年入ったあたりからやけにブルスクとか出るようになったりしてたわけだが。
  • Zoffy @saxblue23 2016-03-08 23:31:57
    何か勝手にアップデートしようとして、権限がないからできませんと言われているようだ。

コメント

  • Chief Buster @chief_buster 2016-03-09 21:43:56
    1. サポートが終わっている為セキュリティホールが放置されているWinXP, IE8以前は使うな。 2. Windows Update, Flash, Javaは常に最新にせよ。不要ならFlash, Javaはアンインストールすべき。 3. 怪しいサイトは見るな。 の3つは最低限度守るべき事です。WinXPをどうしても使わざるを得ないなら、ネットワークに接続せずに使いましょう。
  • Chief Buster @chief_buster 2016-03-09 21:49:14
    でもWinXPやIE8使わざるを得ないし... と言われてもどうにもなりません。Microsoftにサポート料金を支払えばある程度何とかしてくれるらしいですが、企業向けのサービスなので安くは無いでしょう。
  • Chief Buster @chief_buster 2016-03-09 21:56:01
    Internet Explorerを使わなければほんの少しリスクが下がりますが、完全に防げる訳ではありません。Google Chrome, Mozilla Firefoxに乗り換えるのは望ましいですが、それだけ安心しないで下さい。これらも常に最新版にしておく必要があります。
  • Chief Buster @chief_buster 2016-03-09 21:58:53
    これだけでランサムウィルスを防ぐ事ができる保障は無いのですが、この程度すらやってなければ確実に感染すると言っても過言ではないかと。
  • 西村誠一 @khb02323 2016-03-10 04:16:05
    まとめを更新しました(まとめを作った数時間後にTL上の方がTeslaCryptの被害に遭いまして、その被害報告を大幅に追加しました)
  • 斉藤・W・ルビンスキー @dojitenshi 2016-03-10 07:25:35
    某マルウェア対策サイトも JavaScript OFF固定ではやるな
  • 西村誠一 @khb02323 2016-03-10 09:58:27
    まとめを更新しました(前半の説明部分を大幅に追記しました)
  • Chief Buster @chief_buster 2016-03-10 09:59:09
    誤解されている方がいたので繰り返しますが、Windows XPは使ってはならないのです。Internet Explorer 8(Win7でも)も使っては駄目です。残念ながらこれが現実です。
  • Chief Buster @chief_buster 2016-03-10 10:42:47
    「こんな事常識だろう。何偉そうに言っているんだ」と確実に思われているでしょうが、この程度がわかって無い人が多いのですよ。
  • 西村誠一 @khb02323 2016-03-10 18:13:47
    「「ウィルスの方から逃げていく」 レジストリキーの作成を使った簡易版TeslaCryptウィルス対策方法(2016/3/10版)」http://nisimura.dyndns.org:8080/~doc/teslacrypt/teslacrypt.html を追加しました
  • Chief Buster @chief_buster 2016-03-12 21:54:47
    ブラウザさえ固めておけば大丈夫という誤解をされている方がいらっしゃるようですが、それは重大な誤解です。ウィルスの感染経路はWebブラウザだけではありません。単純な方法としては、USBメモリを媒介として広まったり、トロイの木馬(一見無害に見えるが、実は悪さをするプログラム)を知らずにインストールしてしまう事があります。この時OSに脆弱性があれば、一気にシステムを乗っ取られてしまう訳です。

カテゴリーからまとめを探す

「メモ」に関連するカテゴリー